Здравствуйте.
Имеется следующее пожелание, хочется отфильтровать DHCP трафик на определённом порту, с определённого ip.
Подробнее.
Клиент сидит на порту 48, на порту 46 (его ip 10.0.0.1) и 45 (его ip 10.0.10.1), сидят два DHCP сервера, необходимо, чтобы клиент получал ответ от DHCP сидящего исключительно на порту 45.
Как я понимаю сделать это возможно используя Access Profile Table, где создаём, профиль на IP соединение, указываем, что source mask 255.255.255.255, protocol UDP, src. port 67, dst. port 68.
Далее создаём Access Rule:
1. Mode Deny
2. Source IP 10.0.0.1
3. Protocol UDP src. port 67, dst. port 68
4. Port number 48

Вся эта схема начинает фильтровать DHCP ответы, если сервак засадить на 48-ой порт, вот только беда в том, что она фильтует все ответы сервера, т.е. DHCP пропадает.
Как заставить порт фильтровать ответы DHCP от определённого IP?

Обратите внимание, что ACL фильтруют только входящий трафик для порта.

Так вот эксперимент показывает, что если клиента посадить на порт для которого написано правило, то оно не выполняется, а если посадить сервер, то оно выполняется. Хотя по сниферу видно, что при ответе DHCP, ответ идёт именно по данным портам, от сервера к клиенту.

Так вот сервер в соответствии с правилом и не отвечает. Вы же source прописали сервера.

Иван, пожалуйста объясните, я не совсем понимаю, как я должен писать енто правило.

DHCP по логам снифера представляет собой следующий обмен пакетами:
DHCP Discover UDP src.port 68 dst.port 67 client->server
DHCP Offer UDP src.port 67 dst.port 68 server->client
DHCP Request UDP src.port 68 dst.port 67 client->server
DHCP ACK UDP src. port 67 dst.port 68 server->client

Так как DHCP Discover похоронить не удаётся, иначе получим неработающий сервер, или клиента вовсе без ip, то пытаемся похоронить DHCP Offer.
Для этого по моему мнению необходимо на порт клиента повесить правило, о том, что все входящие пакеты от ip server по UDP s.p. 67 d.p. 68 = drop. В первом своём посте я, как мне кажется, описывал это правило.
Понимаю, что где-то ошибка, не понимаю, где.
Прошу совет.
(только большая просьба указывайте подробнее source в каком правиле, ведь там два раза source указывается, один раз mask, в access profile, другой раз ip, в access rule. Я вот цитируемый ваш пост не совсем понял.)

А эти пакеты как раз являются не входящими в порт клиента, а ИСХОДЯЩИМИ из него. ACL же работает именно с входящими в порт пакетами.
Как мне кажется, решить поставленную задачу использованием ACL не получится.
Следует либо "бить" сеть на VLAN'ы, либо использовать traffic segmentation, либо - и это было бы наиболее правильное решение - соответствующим образом настраивать DHCP-сервера.

Владимир, спасибо, не с того конца трубы сотрел

А можно ли запретить широковещательные пакеты мужду двумя конкретными портами?